.png)
Qu'est-ce qui est important dans un modèle politique de microsegmentation ?
Parmi toutes les fonctionnalités à aborder dans une solution de microsegmentation, la plupart des fournisseurs ne commenceraient pas par le modèle de politique. Cependant, en termes de résultat potentiel qu'une solution donnée pourrait créer, le modèle politique détermine ce qui est possible. Par conséquent, réfléchir à ce qui est nécessaire dans un modèle de politique constitue une excellente préparation pour prendre une décision d'achat de haute qualité et à faible regret. Examinons chacun des éléments importants d'un modèle de politique de microsegmentation souhaitable.
Étiquettes multidimensionnelles
Les politiques de microsegmentation utilisent des étiquettes pour extraire la segmentation de l'adressage réseau et des périphériques sous-jacents. Idéalement, ces étiquettes devraient être « utilement multidimensionnelles ». Un espace de noms plat contenant un nombre illimité d'étiquettes n'est pas utile ; il n'offre aucun résumé ni aucune structure permettant de suspendre les déclarations de politique qui concernent de nombreuses machines. Si vous étiquetez chaque système dans un espace de noms plat, ce n'est guère mieux que d'utiliser simplement des adresses IP pour spécifier la politique. Il est intéressant de noter que, bien qu'aucune limite ne doive être imposée au nombre d'étiquettes au sein d'une dimension politique donnée, la limitation des dimensions politiques s'est révélée utile dans les déploiements à grande échelle.
Nous, les humains, pouvons facilement visualiser quatre dimensions : trois dimensions physiques plus le temps, par exemple. Mais si les physiciens ont raison et que nous vivons dans un espace à 11 ou 13 dimensions, seules les mathématiques peuvent saisir ces dimensions. Ils sont impossibles à visualiser dans notre cerveau. Cela a des conséquences pratiques pour la microsegmentation. Vous pouvez programmer un ordinateur pour comprendre et calculer une politique en 11 dimensions, mais aucun être humain ne pourra la comprendre. Les humains doivent être capables d'inspecter, d'auditer et de comprendre les politiques de microsegmentation.
D'après notre expérience, quatre dimensions peut modéliser efficacement même les plus grands réseaux de la planète à des fins politiques, tout en préservant notre capacité à comprendre le modèle. Recherchez donc un modèle de politique qui ne se limite pas à une étiquette plate ou à un espace d'étiquette. La structure à quelques dimensions fonctionne à l'échelle de centaines de milliers de systèmes mais reste facile à comprendre et à utiliser. Visionnez cette vidéo pour en savoir plus sur le pouvoir des étiquettes.
Modèle d'objets riches
Un langage de politique de qualité comportera un modèle d'objets suffisamment riche. Un datacenter d'entreprise à très grande échelle est un lieu complexe. Il est évident que le modèle doit prendre en charge tout ce qui doit être protégé : serveurs, machines virtuelles, conteneurs, instances cloud, etc. Mais ces systèmes protégés ne suffisent pas à abstraire toutes les primitives de politique utiles. Vous devez disposer d'objets pour les mappages de services/ports et les plages d'adresses IP. Au sein de serveurs partagés, par exemple un serveur comportant plusieurs instances de base de données, vous devez être en mesure d'abstraire ces instances les unes des autres en tant que services virtuels distincts. Conteneurs et les hôtes de conteneurs doivent être à la fois des « citoyens de première classe » qui apparaissent sur toutes les visualisations et dans le cadre des déclarations de politique générale. Il est intéressant de noter qu'il est également important d'ajouter des systèmes non protégés au modèle objet, en particulier dans les premières phases du déploiement, lorsque plus d'éléments ne sont pas protégés que protégés et que ces systèmes communiquent entre eux. Le fait de pouvoir représenter clairement tous les flux facilite grandement la spécification de la politique souhaitée. Les meilleures solutions seront même en mesure de créer des politiques pour les objets non gérés si vous souhaitez les rendre disponibles pour l'exportation et une éventuelle mise en œuvre.
Héritage
L'héritage des politiques est le seul moyen d'adapter la politique de microsegmentation à un centre de données existant. Si environ 80 % du trafic circule dans le centre de données, cela signifie que les règles de pare-feu périmétrique existantes ne couvrent que 20 % du trafic. Cela signifie que le centre de données peut contenir cinq fois plus de règles que ce qui existe actuellement dans tous les pare-feux ! Les abstractions fournies par le modèle de politique et sa dimensionnalité utile doivent être combinées avec un modèle de politique purement basé sur une liste d'autorisations. Ce n'est qu'ainsi que la politique peut être rédigée une seule fois pour s'appliquer dans de nombreux cas. Héritage et automatisation intelligente des politiques autour de politiques de microsegmentation courantes, telles que application Ringfencing, se combinent pour constituer le seul moyen éprouvé de segmenter des dizaines de milliers de systèmes avec succès.
Déclaratif ou impératif
Le seul modèle de politique permettant de microsegmenter avec succès plus de 100 000 charges de travail utilise une méthode déclarative pour exprimer le souhait de segmentation. Un modèle de politique déclarative n'en nécessite qu'un pour spécifier le résultat souhaité. Un modèle politique impératif nécessite que la solution soit spécifiée exactement pour obtenir le résultat. Un ensemble de règles de pare-feu traditionnel est impératif : chaque instruction doit être présente dans un ordre parfait et avec une précision parfaite pour que la protection souhaitée existe. Cela entraîne une difficulté et une complexité infinies. Cependant, la politique de microsegmentation idéale utilise exclusivement un langage déclaratif : « Je souhaite isoler l'application Ordering dans mon environnement de production ». La manière d'y parvenir est l'affaire du Moteur de calcul des politiques derrière le langage politique. De cette façon, la politique est toujours facile à spécifier, à comprendre et à développer. Compte tenu de l'ampleur du travail à accomplir, tout le reste sera voué à l'échec.
Application cohérente
Lorsque toutes les primitives nécessaires existent, les meilleures solutions de microsegmentation les utiliseront de manière cohérente dans tous les domaines du produit. Les étiquettes ne sont pas uniquement destinées à la création de politiques, elles doivent également contribuer à la visibilité, à la distribution et à l'application des politiques. Contrôle d'accès basé sur les rôles (RBAC) doivent suivre exactement la structure des étiquettes afin que les propriétaires d'applications, DevOps et les autres puissent accéder à tout ce dont ils ont besoin, mais pas plus. La sécurisation des déploiements automatisés nécessite en particulier cette capacité de délégation précise. Une structure d'étiquette utile, claire et simple crée un modèle mental lorsqu'elle est appliquée de manière cohérente. Presque immédiatement, les administrateurs comprennent intuitivement le fonctionnement de la solution et peuvent anticiper les résultats. Cette intuition se transforme rapidement en rapidité, de rapidité en maîtrise et de maîtrise en projets terminés. La simplicité, la clarté et la cohérence sont la solution pour les environnements de centres de données complexes.
Abstraction complète
J'aime dire que l'automatisation consomme des métadonnées au petit-déjeuner. L'automatisation ne peut pas avancer plus vite qu'elle ne peut être abstraite. Un modèle politique efficace doit éliminer tout vestige de l'adressage réseau et du mécanisme d'application lui-même. La politique ne doit traiter que de ce qui est souhaité. De cette façon, l'automatisation peut facilement indiquer le résultat : « Le Web doit parler à l'application ». Les règles requises pour y parvenir seront en constante évolution dans un cloud dynamique ou un environnement automatisé, et cette complexité ne peut pas être exposée au cadre d'automatisation s'il est destiné à être évolutif. Une politique qui repose sur les adresses IP, aussi bien intentionnées soit-elle, ne pourra tout simplement pas évoluer. De même, le mécanisme d'exécution doit être masqué. Une fois le souhait exprimé, le moteur de politique de microsegmentation doit déterminer la meilleure façon de mettre en œuvre cette politique en fonction des ressources dont il dispose. Ainsi, au fur et à mesure que les systèmes vont et viennent, le nombre de points d'application variera, tout comme la base des politiques et des règles. Seule une politique totalement abstraite fournira aux architectes DevOps et cloud les fonctionnalités dont ils ont besoin pour s'interfacer de manière fluide avec la solution de microsegmentation.
Politique à grande échelle
Il y a de nombreuses années, la mégafaune dominait la Terre. Des versions géantes de plantes et d'animaux existaient sur tous les continents, et elles domineraient les espèces que nous avons aujourd'hui. Les meilleurs modèles de politique incluent des facteurs d'échelle qui dépassent les simples descriptions des applications individuelles. La possibilité de regrouper toutes les étiquettes selon n'importe quelle dimension de politique permet d'appliquer des politiques uniques aux systèmes de plusieurs centres de données, environnements ou applications. Lors de la rédaction de politiques pour les entreprises à grande échelle, ces « méga-politiques » évoluent avec une portée, une rapidité et une efficacité étonnantes pour couvrir l'entreprise avec des politiques de microsegmentation.
Un modèle politique peut sembler un concept abstrait et sans importance. Mais pour réussir le déploiement de la microsegmentation, rien n'est plus faux. Le modèle politique détermine ce qui sera et ne sera pas possible d'exprimer et dans quelle mesure il sera facile ou difficile de le faire. Une entreprise peut rapidement changer la couleur de son interface utilisateur, mais elle aura du mal à corriger un modèle de politique défectueux ou mal conçu. Le modèle de politique de microsegmentation le plus éprouvé au monde permet une abstraction complète des points d'adressage et d'application du réseau grâce à un modèle d'étiquette « utilement dimensionnel ». Ce modèle est appliqué de manière cohérente à toutes les fonctions du produit. Lorsque les modèles d'objets complets sont combinés à des modèles d'héritage et à des modèles déclaratifs, il est possible d'énoncer facilement et rapidement le résultat souhaité et de le rendre vrai dans le monde. La microsegmentation est un succès au échelle de centaines de milliers de charges de travail uniquement grâce à un modèle politique mature, complet et bien conçu.
Dans la prochaine partie de cette série de questions sur la microsegmentation que vous ne savez pas comment vous pouvez vous poser, nous aborderons ce qu'il faut pour automatiser la politique de microsegmentation.
